[SOLVED] Einen Container verschlüsseln ?

ioB_Newcomer

Member
Jan 23, 2020
123
2
23
39
Hallo Com,

kann man beim erstellen eines LXC diesen verschlüsseln, das wenn man den CT startet, vor dem Boot erst mal mit dem PW entschlüsselt werden muss ?

Wenn ich eine VM erstelle, kann ich das ja direkt bei der Installation vom BS machen, damit ich direkt Luks benutze.

Oder heißt das, wenn ich das möchte, nur mit einer VM ?

Grüße,
Newcomer
 
nein, das geht bei einem container in der form nicht. ein container ist nur eine gruppe an prozessen, ohne "virtuelle" hardware wie bei einer VM.
 
Kann man ihn anders Verschlüsseln, weil du schreibst, nicht in der Form ? Wäre nur interessant, das man wenn man den LXC startet, erst dran kommt oder erst hochfährt, wenn man ein PW eingibt.
 
naja, du kannst den storage drunter verschluesseln (z.b. mit LUKS), und dann vor dem start/beim boot vom PVE entschluesseln z.b.. gibt einige foren threads zu dem thema ;)
 
Dann mach ich das wie ich das bis jetzt gemacht hatte. Erstelle halt eine VM und dort beim installieren kann man das verschlüsseln ja direkt auswählen. Somit wird man erst nach dem PW gefragt, bevor die VM startet. Das sollte ich so hinbekommen.

Hätte gern LXC genommen, zum Ressourcensparen :)
 
Ist mit ZFS relativ simpel. Auf dem Pool über die CLI ein verschlüsseltes Dataset erstellen und das Dataset per WebUI dann als neuen ZFS Storage hinzufügen. Alle LXC/VM die man dann dort ablegt bekommen die Verschlüsselung vererbt. Musst du dann halt nur nach jedem Reboot des Nodes einmal per CLI das Dataset entschlüsseln, was dann auch alle VMs/LXCs darauf mitenschlüsselt. Ist aber nichts wenn man einen Cluster hat, da dann Migration nicht mehr läuft. In dem Fall wäre dann LUKS besser.
 
Uff, das klingt danach, als müsse man hier schon sehr fit sein. Wie macht man das über CLI ? Eigentlich bräuchte ich das nur bei einer VM oder eben bei einem LXC. Lohnt sich das dann über die Variante die du gemeint hast ?
 
mein neues System habe ich eben auf eine neue SSD aufgesetzt mit ZFS Raid 0. Da ich nur diese eine System SSD nutze. Die anderen Platten laufen ohne Raid.
 
Ist mit ZFS relativ simpel. Auf dem Pool über die CLI ein verschlüsseltes Dataset erstellen und das Dataset per WebUI dann als neuen ZFS Storage hinzufügen. Alle LXC/VM die man dann dort ablegt bekommen die Verschlüsselung vererbt. Musst du dann halt nur nach jedem Reboot des Nodes einmal per CLI das Dataset entschlüsseln, was dann auch alle VMs/LXCs darauf mitenschlüsselt. Ist aber nichts wenn man einen Cluster hat, da dann Migration nicht mehr läuft. In dem Fall wäre dann LUKS besser.
das ist das aequivalent zu luks fuer zfs, hat aber auch nicht die hier von @ioB_Newcomer gewuenschte semantik (naemlich das beim starten des gastes (im/vom gast) nach dem passwort gefragt wird und dann entschluesselt wird).
 
das ist das aequivalent zu luks fuer zfs, hat aber auch nicht die hier von @ioB_Newcomer gewuenschte semantik (naemlich das beim starten des gastes (im/vom gast) nach dem passwort gefragt wird und dann entschluesselt wird).
Genau. Aber Verschlüsselung im Gast wird ja zu mindestens ohne selbsterstellte LXC Templates nichts und selbst wenn man sich so ein Template machen würde, dann hat man doch bestimtmt Probleme. Wüsste jetzt z.B. nicht wie PVE die IP Adresse, Root Passwort und Co setzen sollte, wenn das Root-Dateisystem verschlüsset ist und PVE das PAsswort ja nicht kennt und folglich nichts dort reinschreiben kann.

Wie macht man das über CLI ?
1.) Neues verschlüsseltes Dataset erstellen. Z.B. mit zfs create -o encryption=aes-256-gcm -o keyformat=passphrase rpool/vault
2.) Dataset als ZFS Storage zu PVE hinzufügen, damit PVE es benutzen kann. Entweder im webUI unter "Datacenter -> Storage -> Add -> ZFS" oder über die CLI mit z.B. pvesm add zfspool Vault --blocksize 8K --content images,rootdir --pool rpooll/vault --sparse 1 --mountpoint /rpool/vault
3.) neue VMs/LXCs die verschlüsselt werden sollen auf den neuen Storage "Vault" erstellen oder über das webUI mit dem "Move disk" Button vorhandere virtuelle Disk auf den neuen Storage verschieben. Autostart von VMs/LXCs abstellen, da PVE ja keine unentsperrten Gäste starten kann.
4.) Nach jedem Reboot des PVE Hostes den Storage entsperren indem man folgendes in die CLI vom PVE Host eintippt: zfs load-key -r rpool/vault
 
  • Like
Reactions: ioB_Newcomer
Genau. Aber Verschlüsselung im Gast wird ja zu mindestens ohne selbsterstellte LXC Templates nichts und selbst wenn man sich so ein Template machen würde, dann hat man doch bestimtmt Probleme. Wüsste jetzt z.B. nicht wie PVE die IP Adresse, Root Passwort und Co setzen sollte, wenn das Root-Dateisystem verschlüsset ist und PVE das PAsswort ja nicht kennt und folglich nichts dort reinschreiben kann.
genau - deswegen hab ich oben geschrieben dass das nur mit VMs geht, und ansonsten der drunter liegende storage verschluesselt werden kann ;)
 
Also hab es jetzt erfolgreich gemacht mit der VM Verschlüsselung. Das direkt beim Boot. Ganz einfach bei der Install von Debian.
Die anderen HDD's werden auch beim Boot entsperrt per PW Eingabe. Hatte ich vorher anders, so ist es aber sicherer, weil das PW nirgends auf dem System liegt. Somit Thema erledigt.

Danke euch !
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!